पाठ्यक्रम के विद्यार्थियों के लिए तैयार किये गये आलेख का अनुवाद "लिनक्स सुरक्षा"

SELinux या सिक्योरिटी एन्हांस्ड लिनक्स दुर्भावनापूर्ण घुसपैठ को रोकने के लिए अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (NSA) द्वारा विकसित एक उन्नत एक्सेस कंट्रोल तंत्र है। यह मौजूदा विवेकाधीन (या चयनात्मक) मॉडल (अंग्रेजी विवेकाधीन एक्सेस कंट्रोल, डीएसी) के शीर्ष पर एक मजबूर (या अनिवार्य) एक्सेस कंट्रोल मॉडल (अंग्रेजी अनिवार्य एक्सेस कंट्रोल, एमएसी) लागू करता है, यानी पढ़ने, लिखने, निष्पादित करने की अनुमति देता है।

SELinux के तीन मोड हैं:

लागू करने - नीति नियमों के आधार पर प्रवेश निषेध।
अनुमोदक - नीति का उल्लंघन करने वाली कार्रवाइयों का लॉग रखना, जिन्हें लागू करने के तरीके में प्रतिबंधित किया जाएगा।
विकलांग - SELinux को पूर्णतः अक्षम करना।

डिफ़ॉल्ट रूप से सेटिंग्स मौजूद हैं /etc/selinux/config

SELinux मोड बदलना

वर्तमान मोड का पता लगाने के लिए, चलाएँ

$ getenforce

मोड को अनुमेय में बदलने के लिए निम्न कमांड चलाएँ

$ setenforce 0

या, से मोड बदलने के लिए अनुमोदक पर लागू करने, निष्पादित करना

$ setenforce 1

यदि आपको SELinux को पूरी तरह से अक्षम करने की आवश्यकता है, तो यह केवल कॉन्फ़िगरेशन फ़ाइल के माध्यम से किया जा सकता है

$ vi /etc/selinux/config

अक्षम करने के लिए, SELINUX पैरामीटर को निम्नानुसार बदलें:

SELINUX=disabled

SELinux की स्थापना

प्रत्येक फ़ाइल और प्रक्रिया को SELinux संदर्भ से चिह्नित किया जाता है, जिसमें उपयोगकर्ता, भूमिका, प्रकार आदि जैसी अतिरिक्त जानकारी होती है। यदि आप पहली बार SELinux को सक्षम कर रहे हैं, तो आपको सबसे पहले संदर्भ और लेबल को कॉन्फ़िगर करना होगा। लेबल और संदर्भ निर्दिष्ट करने की प्रक्रिया को टैगिंग के रूप में जाना जाता है। मार्किंग शुरू करने के लिए, कॉन्फ़िगरेशन फ़ाइल में हम मोड को बदलते हैं अनुमोदक.

$ vi /etc/selinux/config
SELINUX=permissive

मोड सेट करने के बाद अनुमोदक, नाम के साथ रूट में एक खाली छिपी हुई फ़ाइल बनाएं autorelabel

$ touch /.autorelabel

और कंप्यूटर को पुनरारंभ करें

$ init 6

नोट: हम मोड का उपयोग करते हैं अनुमोदक अंकन के लिए, मोड के उपयोग के बाद से लागू करने रिबूट के दौरान सिस्टम क्रैश हो सकता है।

अगर डाउनलोड किसी फ़ाइल पर अटक जाता है तो चिंता न करें, मार्किंग में थोड़ा समय लगता है। एक बार मार्किंग पूरी हो जाए और आपका सिस्टम बूट हो जाए, तो आप कॉन्फ़िगरेशन फ़ाइल पर जा सकते हैं और मोड सेट कर सकते हैं लागू करनेऔर यह भी चलाएँ:

$ setenforce 1

अब आपने अपने कंप्यूटर पर SELinux को सफलतापूर्वक सक्षम कर लिया है।

लॉग की निगरानी करना

आपको मार्किंग के दौरान या सिस्टम चलने के दौरान कुछ त्रुटियों का सामना करना पड़ा होगा। यह जांचने के लिए कि क्या आपका SELinux सही ढंग से काम कर रहा है और क्या यह किसी पोर्ट, एप्लिकेशन आदि तक पहुंच को अवरुद्ध नहीं कर रहा है, आपको लॉग देखने की जरूरत है। SELinux लॉग स्थित है /var/log/audit/audit.log, लेकिन त्रुटियाँ ढूंढने के लिए आपको पूरी चीज़ पढ़ने की ज़रूरत नहीं है। त्रुटियों को ढूंढने के लिए आप ऑडिट2व्हाई उपयोगिता का उपयोग कर सकते हैं। निम्न आदेश चलाएँ:

$ audit2why < /var/log/audit/audit.log

परिणामस्वरूप, आपको त्रुटियों की एक सूची प्राप्त होगी। यदि लॉग में कोई त्रुटि नहीं थी, तो कोई संदेश प्रदर्शित नहीं किया जाएगा।

SELinux नीति कॉन्फ़िगर करना

SELinux नीति नियमों का एक समूह है जो SELinux सुरक्षा तंत्र को नियंत्रित करती है। एक नीति एक विशिष्ट वातावरण के लिए नियमों के एक समूह को परिभाषित करती है। अब हम सीखेंगे कि प्रतिबंधित सेवाओं तक पहुंच की अनुमति देने के लिए नीतियों को कैसे कॉन्फ़िगर किया जाए।

1. तार्किक मान (स्विच)

स्विच (बूलियन) आपको नई नीतियां बनाए बिना, रनटाइम पर पॉलिसी के कुछ हिस्सों को बदलने की अनुमति देते हैं। वे आपको SELinux नीतियों को रीबूट या पुन: संकलित किए बिना परिवर्तन करने की अनुमति देते हैं।

उदाहरण
मान लीजिए कि हम किसी उपयोगकर्ता की होम निर्देशिका को एफ़टीपी रीड/राइट के माध्यम से साझा करना चाहते हैं, और हमने इसे पहले ही साझा कर दिया है, लेकिन जब हम इसे एक्सेस करने का प्रयास करते हैं, तो हमें कुछ भी नहीं दिखता है। ऐसा इसलिए है क्योंकि SELinux नीति FTP सर्वर को उपयोगकर्ता की होम निर्देशिका को पढ़ने और लिखने से रोकती है। हमें नीति बदलने की जरूरत है ताकि एफ़टीपी सर्वर होम निर्देशिकाओं तक पहुंच सके। आइए देखें कि क्या इसके लिए कोई स्विच है

$ semanage boolean -l

यह कमांड उपलब्ध स्विचों को उनकी वर्तमान स्थिति (चालू या बंद) और विवरण के साथ सूचीबद्ध करेगा। आप केवल ftp परिणाम खोजने के लिए grep जोड़कर अपनी खोज को परिष्कृत कर सकते हैं:

$ semanage boolean -l | grep ftp

और आपको निम्नलिखित मिलेगा

ftp_home_dir        -> off       Allow ftp to read & write file in user home directory

यह स्विच अक्षम है, इसलिए हम इसे सक्षम करेंगे setsebool $ setsebool ftp_home_dir on

अब हमारा ftp डेमॉन उपयोगकर्ता की होम डायरेक्टरी तक पहुंच सकेगा।
नोट: आप बिना विवरण के भी उपलब्ध स्विचों की सूची प्राप्त कर सकते हैं getsebool -a

2. लेबल और संदर्भ

यह SELinux नीति को लागू करने का सबसे आम तरीका है। प्रत्येक फ़ाइल, फ़ोल्डर, प्रक्रिया और पोर्ट को SELinux संदर्भ से चिह्नित किया गया है:

फ़ाइलों और फ़ोल्डरों के लिए, लेबल को फ़ाइल सिस्टम पर विस्तारित विशेषताओं के रूप में संग्रहीत किया जाता है और इन्हें निम्नलिखित कमांड के साथ देखा जा सकता है:
```
$ ls -Z /etc/httpd
```
प्रक्रियाओं और पोर्ट के लिए, लेबलिंग को कर्नेल द्वारा प्रबंधित किया जाता है, और आप इन लेबल को निम्नानुसार देख सकते हैं:

प्रक्रिया

$ ps –auxZ | grep httpd

बंदरगाह

$ netstat -anpZ | grep httpd

उदाहरण
आइए अब लेबल और संदर्भ को बेहतर ढंग से समझने के लिए एक उदाहरण देखें। मान लीजिए कि हमारे पास एक निर्देशिका के बजाय एक वेब सर्वर है /var/www/html/ использует /home/dan/html/. SELinux इसे नीति का उल्लंघन मानेगा और आप अपने वेब पेज नहीं देख पाएंगे। ऐसा इसलिए है क्योंकि हमने HTML फ़ाइलों से जुड़ा सुरक्षा संदर्भ सेट नहीं किया है। डिफ़ॉल्ट सुरक्षा संदर्भ देखने के लिए, निम्न आदेश का उपयोग करें:

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

यहाँ हमें मिल गया httpd_sys_content_t HTML फ़ाइलों के संदर्भ के रूप में। हमें इस सुरक्षा संदर्भ को अपनी वर्तमान निर्देशिका के लिए सेट करने की आवश्यकता है, जिसमें वर्तमान में निम्नलिखित संदर्भ है:

-rw-r—r—. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/

किसी फ़ाइल या निर्देशिका के सुरक्षा संदर्भ की जाँच करने के लिए एक वैकल्पिक आदेश:

$ semanage fcontext -l | grep '/var/www'

एक बार सही सुरक्षा संदर्भ मिल जाने के बाद हम संदर्भ को बदलने के लिए सेमैनेज का भी उपयोग करेंगे। /home/dan/html का संदर्भ बदलने के लिए, निम्नलिखित आदेश चलाएँ:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

सेमैनेज का उपयोग करके संदर्भ बदलने के बाद, रिस्टोरकॉन कमांड फाइलों और निर्देशिकाओं के लिए डिफ़ॉल्ट संदर्भ लोड करेगा। हमारा वेब सर्वर अब फ़ोल्डर से फ़ाइलें पढ़ने में सक्षम होगा /home/dan/htmlक्योंकि इस फ़ोल्डर के लिए सुरक्षा संदर्भ बदल दिया गया है httpd_sys_content_t.

3. स्थानीय नीतियां बनाएं

ऐसी स्थितियाँ हो सकती हैं जहाँ उपरोक्त विधियाँ आपके लिए किसी काम की नहीं हैं और आपको ऑडिट.लॉग में त्रुटियाँ (avc/denial) मिलती हैं। जब ऐसा होता है, तो आपको एक स्थानीय नीति बनाने की आवश्यकता होती है। जैसा कि ऊपर वर्णित है, आप ऑडिट2व्हाई का उपयोग करके सभी त्रुटियाँ पा सकते हैं।

आप त्रुटियों को हल करने के लिए एक स्थानीय नीति बना सकते हैं। उदाहरण के लिए, हमें httpd (अपाचे) या smbd (samba) से संबंधित कोई त्रुटि मिलती है, हम त्रुटियों को पकड़ते हैं और उनके लिए एक नीति बनाते हैं:

apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy

यहां http_policy и smb_policy ये हमारे द्वारा बनाई गई स्थानीय नीतियों के नाम हैं। अब हमें इन बनाई गई स्थानीय नीतियों को वर्तमान SELinux नीति में लोड करने की आवश्यकता है। इसे इस प्रकार किया जा सकता है:

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

हमारी स्थानीय नीतियां डाउनलोड हो चुकी हैं और हमें अब ऑडिट.लॉग में कोई एवीसी या डेनेल प्राप्त नहीं होना चाहिए।

यह SELinux को समझने में आपकी सहायता करने का मेरा प्रयास था। मुझे आशा है कि इस लेख को पढ़ने के बाद आप SELinux के साथ अधिक सहज महसूस करेंगे।

स्रोत: www.habr.com

SELinux के लिए एक शुरुआती मार्गदर्शिका